Digitale Dienste auf dem Prüfstand der EU

Verordnung über digitale Dienste: eine Verordnung, die oft vergessen wird

In letzter Zeit war kaum ein anderes Thema in aller Munde als die NIS2-Richtlinie und das neue Gesetz zur Cybersicherheit. Die Unternehmen diskutieren intensiv darüber, ob sie unter die neue Verordnung fallen, unter welches Regime und welche Verpflichtungen sich für sie ergeben werden.

Weniger bekannt ist, dass eine weitere, sehr spezifische Verordnung für ausgewählte Anbieter digitaler Dienste gilt – die Verordnung über digitale Dienste (Kommission (EU) 2024/2690).

Diese Durchführungsverordnung ist für die betroffenen Organisationen von entscheidender Bedeutung. Sie ist nicht nur ab 2024 wirksam, sondern erweitert für ausgewählte Einrichtungen die allgemeinen Anforderungen der NIS2 und geht im Bereich der Cybersicherheit viel mehr ins Detail. Es lohnt sich sicherlich nicht, sie zu ignorieren.

Was ist der Unterschied zwischen NIS2, ZKB und dieser Verordnung?

Einfach ausgedrückt:

NIS2 legt einen einheitlichen Rahmen von Verpflichtungen für die Cybersicherheit in der EU fest;
Die ZKB setzt diese Regeln in tschechisches Recht um und legt genau fest, wie sie in der Tschechischen Republik funktionieren werden.
Für ausgewählte digitale Dienste schreibt die DSA-Durchführungsverordnung spezifische technische Details vor, wie Organisationen die Sicherheit in der Praxis umsetzen sollten.

Der wichtigste Unterschied besteht darin, dass die Verordnung in allen EU-Ländern direkt anwendbar ist und nicht auf eine nationale Umsetzung wartet.

Das bedeutet, dass Sie, wenn Sie darunter fallen, direkt mit der europäischen Regulierung zu tun haben. Dies ist vor allem auf den grenzüberschreitenden Charakter digitaler Dienstleistungen zurückzuführen, bei denen unterschiedliche Vorschriften in verschiedenen Ländern keinen Sinn machen würden.

Auf wen trifft er?

Die Durchführungsverordnung (EU) 2024/2690 legt die ausgewählten Kategorien von Anbietern digitaler Infrastrukturen und digitaler Dienste genau fest. In der Regel sind dies:

Cloud Computing (IaaS, SaaS, PaaS);
Rechenzentren;
Content Delivery Network (CDN);
Managed Services und Managed Security Services (MSP und MSSP);
Anbieter von Internet-Suchmaschinen und Online-Marktplätzen;
vertrauensbildende Maßnahmen.

Interessante Szenarien aus der Praxis

Die Regulierung betrifft oft Unternehmen, die keine IT-Dienstleistungen öffentlich verkaufen. Holdingstrukturen sind ein typisches Beispiel:

Internes IT-Unternehmen in der Holding: Wenn Sie IT- oder Cloud-Dienste für andere Tochtergesellschaften der Gruppe bereitstellen, kann es sein, dass die Gesetzgebung Sie als kommerziell ausgelagerten Anbieter betrachtet.
Shared Services: Betreiben Sie Identitätsmanagement, Infrastruktur oder Sicherheit für mehrere Unternehmen innerhalb einer Gruppe? Dann konzentrieren Sie sich.
Internes SOC oder Sicherheitsteam: Wenn Ihr Sicherheitsteam als spezieller Dienst für den Rest der Gruppe agiert, fallen Sie möglicherweise unter regulierte Sicherheitsdienste (MSSP).

Welche Verpflichtungen bringt die Regulierung mit sich?

Die Verordnung führt keine völlig neuen Grundsätze ein, sondern erweitert und beschreibt im Detail, was in der NIS2 nur in allgemeiner Form erwähnt wird.

Diese sind hauptsächlich:

Wie steht es mit der Übereinstimmung mit der ZKB?

Hier kommt einer der wichtigsten praktischen Momente.

Wenn Sie einen digitalen Service anbieten:

Die Sicherheitsmaßnahmen und die Meldung von Vorfällen werden direkt durch diese EU-Verordnung geregelt;
andere Verpflichtungen bleiben nach der ZKB bestehen.

Und wenn Sie beides tun?

Wenn Sie eine Cloud (digitaler Dienst) betreiben und auch einen anderen Dienst anbieten, der unter die BCR fällt (z. B. kritische Infrastrukturen), müssen Sie die Regeln kombinieren. Für den digitalen Teil gilt die europäische Verordnung, für den Rest gilt das tschechische Recht. Wenn beide Dienste dieselbe Infrastruktur nutzen, gilt immer die strengere oder spezifischere Anforderung.

Fristen und was jetzt zu tun ist

Da es sich um eine europäische Verordnung handelt, ist sie in Kraft getreten, unabhängig davon, ob wir das neue tschechische Gesetz zur Cybersicherheit bereits verabschiedet haben. Es ist kein tschechisches Gesetz anhängig.

Praktisch bedeutet dies

Wenn Sie vermuten, dass Sie in diese Kategorie fallen, sollte Ihr Aktionsplan für die nächsten Tage lauten:

Rechtliche Analyse: Bestimmen Sie, ob Ihre Dienstleistungen (einschließlich derjenigen innerhalb der Holdinggesellschaft) von der Verordnung abgedeckt sind;
Lückenanalyse: Vergleichen Sie bestehende Maßnahmen mit den spezifischen Anforderungen der Verordnung und ermitteln Sie Unstimmigkeiten;
Umsetzung der Änderungen: Einrichtung von Prozessen, um sowohl der europäischen Verordnung als auch der ZKB zu entsprechen.

Zusammenfassung

Die Durchführungsverordnung 2024/2690 ist ein subtiler, aber entscheidender Rechtsakt. Sie gilt direkt, ohne Ausnahmen, und zielt kompromisslos auf IT und digitale Dienstleistungen (auch intern) ab.

Sie sind nicht sicher, ob dies auf Sie zutrifft?

Sie wissen nicht, ob Sie unter die Verordnung fallen?

Sie sind sich nicht sicher, wie Sie die ZKB und die Europäische Verordnung kombinieren können?

Möchten Sie sich darüber klar werden, was Sie tun müssen?

Wir helfen Ihnen bei der Lückenanalyse und der Umsetzung von Maßnahmen.

Kontaktieren Sie uns

Aktie:

Související příspěvky

Warum Excel nicht genug ist: DORA erfordert echte Software

Der Digital Operational Resilience Act (DORA) verändert den Ansatz für das IKT-Risikomanagement und die Cybersicherheit grundlegend. Während früher eine Kombination

Das neue Gesetz zur Cybersicherheit steht vor der Tür. Was sind die ersten Schritte der neu regulierten Organisationen?

Am 1. November 2025 tritt das seit langem angekündigte Gesetz über Cybersicherheit in Kraft, das Änderungen auf der Grundlage der